Seguridad de la información
GWC GLOBAL tiene como objetivo el conducir a las empresas hacia el uso de la nube, optimizando sus servicios IT mediante soluciones para múltiples sedes, comunicaciones unificadas y servicios de consultoría, con la misión principal de que la empresa se despreocupe por la disponibilidad de sus datos. La información es para GWC y para las personas y sociedades que dependen de sus servicios, uno de sus activos más valiosos y un bien crítico sin el cual no podría desarrollar su actividad. GWC basa en gran medida la calidad de su gestión en la utilización de esta información de forma exacta, completa y obtenida a tiempo. Por lo tanto, reconoce la gran importancia de las medidas de seguridad para lograr que la información no esté afectada por amenazas tales como errores, fraudes, malversaciones, sabotajes, extorsiones, espionaje industrial, violaciones de intimidad, interrupciones de servicio y desastres naturales. La Dirección de GWC reconoce su responsabilidad en desarrollar las directrices de seguridad que permitan minimizar los riesgos potenciales a los que se encuentra expuesta, para la consecución de los objetivos estratégicos del negocio y conseguir así asegurar la continuidad de los servicios que desempeña la Organización. El objetivo de esta Política de Seguridad de los Sistemas de Información y Continuidad del Negocio es definir las principales pautas que conduzcan a la formulación de procedimientos de Seguridad de los Sistemas de Información, para salvaguardar la información de acuerdo a lo comentado en el párrafo anterior y así poder asegurar el acceso a la información de los clientes.
La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio se sustenta en los siguientes pilares claves para lograr la protección de la información de GWC.
● La información de GWC y sus Sistemas de Información son activos críticos que deben ser protegidos para asegurar su funcionamiento.
● La información de GWC debe ser protegida conforme a su susceptibilidad, valor y criticidad.
● Todos los empleados y terceros colaboradores de GWC tienen la responsabilidad de proteger la información que se les ha confiado.
● La protección de la información permite el desarrollo del negocio de GWC; las medidas de protección deben desarrollarse conforme a una evaluación del riesgo.
La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio será aplicable a todos los trabajadores de GWC, sean o no empleados, incluyendo cualquier persona ajena a GWC que tenga acceso a la información gestionada o propiedad de la misma. La Política también será aplicable a toda la información en soporte digital y a los Sistemas de Información propiedad de GWC o gestionados para GWC.
registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
• Protección de las instalaciones. Tanto los sistemas de información como la infraestructura de comunicaciones asociada permanecerán en áreas controladas y dispondrá de mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.
• Adquisición de productos de seguridad y contratación de servicios de seguridad. La contratación o adquisición de productos o servicios de seguridad deberá hacerse de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados.
• Mínimo privilegio. Se deberá diseñar y configurar el sistema otorgando los privilegios mínimos para el desempeño de su puesto de trabajo
• Integridad y actualización del sistema Deberán mantenerse actualizados todos los elementos, requiriendo autorización para su modificación y manteniendo una evaluación y monitorización continua. • Protección de la información almacenada y en tránsito. Se debe mantener una protección adecuada para los equipos o dispositivos portátiles, estableciendo procedimientos que permitan garantizar la recuperación y la conservación de este. Los dispositivos deberán mantener el mismo grado de seguridad que la entidad.
• Prevención ante otros sistemas de información interconectados. Se debe mantener un perímetro de protección del sistema de información, dando una especial atención a la prevención, detección y respuestas a los incidentes de seguridad.
• Registro de la actividad y detección de código dañino. Se debe mantener el tiempo estrictamente necesario la información que resulte adecuada para documentar las actividades indebidas o no autorizadas, con el fin de monitorizar la actividad del posible código dañino. Los usuarios que accedan a los sistemas deben estar identificados.
• Incidentes de seguridad. Se deben disponer de procedimientos de gestión de incidentes de seguridad conforme a lo establecido en la normativa, debiendo establecer mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución.
• Continuidad de la actividad. Se deben garantizar la existencia de copias de seguridad que actúen como mecanismo de restablecimiento del sistema en caso de ser necesario.
• Mejora continua del proceso de seguridad. Se debe mantener un proceso de mejora continua de los procedimientos y mecanismos establecidos para garantizar el funcionamiento adecuado del sistema de seguridad.
La Dirección de GWC consciente de que la información es un recurso de gran valor, ha establecido los mecanismos necesarios para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales y asegurar la confidencialidad, integridad y disponibilidad de la información necesaria para la prestación de los servicios. Para ello se ha establecido la presente política de seguridad basada en los siguientes principios:
● La reducción de los riesgos de daños y la garantía de continuidad de los servicios.
● Cumplimiento de la normativa aplicable en materia de seguridad de la información.
● Asegurar la confidencialidad de los datos gestionados por GWC, principalmente aquellos propiedad de sus clientes o relativos a éstos.
● Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna.
● Evitar alteraciones indebidas en la información
● Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.
PRINCIPIOS Y DIRECTRICES Se entenderá la Seguridad como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información, quedando excluidas cualquier tipo de actuaciones puntuales o de tratamiento coyuntural. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad. Los principios sobre seguridad de la información en torno a los cuales se construyen las medidas de Seguridad de los Sistemas de Información son los siguientes: ● La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción hasta su procesamiento, comunicación, transporte, almacenamiento, difusión a terceros y su eventual destrucción. ● GWC protegerá la información de la difusión o manipulación no autorizada o pérdida de la misma ● Los terceros que puedan acceder a la información propiedad de GWC han de estar sometidos al control de los estándares definidos en cuanto a la seguridad de la información. ● Cada empleado tiene la obligación y el deber de proteger adecuadamente la información, conforme a las clasificaciones y estándares de GWC. En todo caso, para asegurar la seguridad de la información, se tomarán medidas específicas para garantizar la prevención, la detección, la respuesta y la conservación/recuperación, de manera que las amenazas existentes no se materialicen o en caso de materializarse no afecten gravemente a la información que maneja, o los servicios que se prestan. Todo lo anterior se mantendrá gracias al concepto de vigilancia continua.
SEGURIDAD COMO PROCESO INTEGRAL La seguridad de la información se debe entender como un proceso integral constituido por los elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia y necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
GESTIÓN DE LA SEGURIDAD BASADA EN LOS RIESGOS El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
PREVENCIÓN Todas las áreas o departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se debe implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben: • Autorizar los sistemas antes de entrar en operación • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria. • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
DETECCIÓN Dado que los servicios se pueden degradar rápidamente debido a incidentes, los servicios deben monitorizar las operaciones de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS. La vigilancia continua es especialmente relevante cuando se establecen líneas de defensa, por ello la Organización debe contar con mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
RESPUESTA Los departamentos deben: • Establecer mecanismos para responder eficazmente a los incidentes de seguridad, implantando procedimientos para la gestión y notificación de brechas de seguridad, de acuerdo con el artículo 33 y 34 del RGPD, así como medidas orientadas a la restauración de la información y de los servicios que pudieran haberse visto afectados por un incidente de seguridad. • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otras entidades. En este caso, el punto de contacto será el Responsable de Seguridad. • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con las Autoridad de Control competente, y en caso de que fuese necesario, con los Equipos de Respuesta a Emergencias (CERT).
CONSERVACIÓN Y RECUPERACIÓN Se deberá asegurar que el sistema de información tiene mecanismos suficientes para garantizar la conservación de los datos e información. Para garantizar la disponibilidad de los servicios, se debe desarrollar un plan de continuidad de negocio como parte de su plan general de continuidad de negocio y actividades de recuperación.
REEVALUACIÓN PERIÓDICA Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado.
DIFERENCIACIÓN DE RESPONSABILIDADES Se hará una diferenciación en los sistemas de información del responsable de información, responsable del servicio, responsable de seguridad y responsable de los sistemas, determinando la diferenciación de responsabilidades de cada uno de los roles sobre la explotación de los sistemas de información concernidos y se detallarán las atribuciones de cada responsable, mecanismos de coordinación y resolución de conflictos.
MARCO REGULATORIO EN EL QUE SE DESARROLLAN LAS ACTIVIDADES El marco normativo en el que se desarrollan las actividades de GWC y, en particular, la prestación de sus servicios a los clientes está integrado por las normas que se analizan e identifican a través del P01 Gestión de documentos y registros.
ORGANIZACIÓN DE LA SEGURIDAD El mantenimiento y gestión de la seguridad de la información en una entidad va íntimamente ligado al establecimiento de una organización de seguridad. Dicha organización se establece mediante la identificación y definición de las diferentes actividades y responsabilidades en materia de gestión de la seguridad y la implantación de una estructura que las soporte. La estructura que se define en este documento diferencia 3 grandes bloques de responsabilidad: i) la especificación de las necesidades o requisitos en materia de seguridad de la información, ii) la función
de supervisión de acuerdo al principio básico del ENS de “Diferenciación de responsabilidades”. iii) la operación del sistema de información que se atiene a dichos requisitos Así, la especificación de requisitos de seguridad corresponderá a los responsables de la información y los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La supervisión corresponderá al responsable de la seguridad y la operación corresponderá al responsable del sistema (Guía de seguridad CCN-STIC-801). La seguridad de la información implica prácticamente a todos los departamentos de GWC habida cuenta de que ha de estar presente en todos los ámbitos de su actividad y debe tener un carácter multidisciplinar, abarcando áreas como la informática y comunicaciones, gestión de personal y financiera, ejecución de proyectos, etc. o Nivel 1 – Órganos de Gobierno: alta dirección, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde de que se alcancen. o Nivel 2 – Dirección Ejecutiva: gerencias, que entienden qué hace cada departamento y cómo los departamentos se coordinan entre sí para alcanzar los objetivos marcados por la Dirección. o Nivel 3: Operacional, que se centra en una actividad concreta y controla cómo se hacen las cosas. El Responsable de la Información estará en el nivel 1. El Responsable de la Seguridad estará en el nivel 2. El Responsable del Sistema estará en el nivel 3. El Responsable del Servicio, cuando sea diferente del Responsable de la Información, estará en el nivel 1 o en el nivel 2 dependiendo del organigrama de la organización. Cuando exista un Comité de Seguridad Corporativa, estará en el nivel 1.
ROLES O FUNCIONES DE SEGURIDAD Responsable de la información El Responsable de la Información es el director de GWC (Guía de seguridad CCN-STIC-801). Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad. El Responsable de la Información tiene la potestad de establecer los requisitos de la información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información. El Responsable de la Información puede delegar sus funciones en el Comité de Seguridad TIC de GWC.
Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, se puede recabar una propuesta al Responsable de la Seguridad y conviene que se escuche la opinión del Responsable del Sistema. La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Responsable del Servicio El ENS asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios bajo su responsabilidad. La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja, y suele añadir requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc. Responsable de Seguridad En GWC deberá existir una persona, garantizando el principio de diferenciación de responsabilidades, recogido en el artículo 11 del Esquema Nacional de Seguridad (la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de los servicios), que ejerza las funciones de responsable de seguridad TIC de la entidad, debiendo ser nombrada por el Comité de Seguridad TIC de GWC. La persona responsable de seguridad tendrá las siguientes funciones: ● Definición y seguimiento de las actuaciones relacionadas con la seguridad TIC de los activos de información de GWC y la gestión del riesgo. ● Asesoramiento y soporte al Comité de Seguridad TIC. ● Coordinación en materias de seguridad TIC en el GWC. ● Desarrollo y seguimiento de programas de formación y concienciación. ● Asunción de las funciones incluidas en los artículos 11, 28, 31.5, y Anexo III (apartados 2.1.b y 2.2.b) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. ● Prepara los temas a tratar en las reuniones del Comité de Seguridad TIC, aportando información puntual para la toma de decisiones. ● Convoca y elabora el acta de las reuniones. ● Es responsable de la ejecución directa o delegada de las decisiones del Comité.
Responsable del Sistema Persona designada por la Dirección. La persona designada figurará en la documentación de seguridad del sistema de información. Responsabilidades: ● Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento. ● Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo. ● Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad. ● El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada. La designación de las personas asociadas a cada uno de los roles definidos, así como la revisión de dichos roles, se realizará en la Revisión por Dirección (Comité de Seguridad), como mínimo de forma anual. GWC, habilitará los medios necesarios para divulgar a todos sus empleados y personal subcontratado los procedimientos diseñados para favorecer las buenas prácticas en materia de seguridad de la información. En este sentido se considera un objetivo estratégico de GWC, el mantenimiento de un alto nivel de concienciación respecto a la importancia de la función de seguridad. En consecuencia, GWC, considera todas las normativas internas creadas a dichos efectos, como vinculantes para todo el personal laboral y subcontratado, por lo que se deberá observar un riguroso cumplimiento de las mismas. Finalmente, la Dirección de GWC se compromete a implementar las medidas a su alcance para lograr la mejora continua del Sistema de Gestión de Seguridad de la Información, con objeto de disponer de controles de seguridad cada vez más efectivos.
Para el desarrollo de cuestiones concretas, se contará con procedimientos e instrucciones técnicas, documentos en los que se detallará la sistemática a seguir para el cumplimiento de requisitos en materia de seguridad, identificando los responsables de los mismos. La sistemática para el establecimiento y control de los documentos mencionados se detalla en el P01 Gestión de documentos y registros.
RIESGOS QUE SE DERIVAN DEL TRATAMIENTO DE DATOS PERSONALES Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. La gestión de riesgos se debe realizar de manera continua sobre los sistemas de información, por ello, el análisis se repetirá: - regularmente, al menos una vez al año cuando cambie la información manejada - cuando cambien los servicios prestados - cuando ocurra un incidente grave de seguridad - cuando se reporten vulnerabilidades graves Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal. El Reglamento General de Protección de Datos (UE) 2016/679 estipula que cuando sea probable que un tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Dicha evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Se exige la realización obligatoria de la Evaluación de Impacto relativa a la protección de los datos en los siguientes tratamientos: - Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; - Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9.1, o de los datos personales relativos a condenas e infracciones penales. - Observación sistemática a gran escala de una zona de acceso público. Del mismo modo, y conforme a la discrecionalidad que el RGPD proporciona a las Autoridades de Control en el artículo 35.4, la Agencia Española de Protección de Datos ha publicado la “Lista de tipos de tratamientos de datos que requieren de Evaluación de impacto relativa a protección de datos”. Este listado, que no es exhaustivo, se basa en los criterios establecidos por la autoridad competente para esta materia en la UE, para la realización de Evaluaciones de impacto, estableciendo un conjunto de tratamientos de datos que entrañan un alto riesgos para los derechos y libertades de los interesados.
CALIFICACIÓN DE LA INFORMACIÓN La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio contempla la clasificación de los niveles de sensibilidad de la Información para garantizar los compromisos de control de confidencialidad, integridad y disponibilidad de la Información de una forma óptima. Esta política aboga por la clasificación de la información en función de los niveles de seguridad de la siguiente forma: ● Confidencial: Que engloba la información de mayor sensibilidad para GWC, y que requiere de fuertes medidas para protegerla frente a difusiones (confidencialidad), modificaciones no autorizadas (integridad) y/o asegurar la continua accesibilidad a la misma (disponibilidad). ● Interna: Que aplica a información menos sensible, que se pretende sea de uso interno de GWC, y que aunque su difusión no autorizada está en contra de esta política, no se espera de la misma un impacto negativo serio. ● Pública: Que aplica a la información que ha sido explícitamente aprobada por la Dirección de GWC, para mostrarse al público.
Sevilla, 02/01/2024